Когда говорят о SQLi у большинства возникает ассоциация примерно такая : ‘ » ; Поставить апостроф после какого-нибудь дорка, увидеть ошибку SQL и встречай мама своего кулцхакера. Честно говоря, это было актуально лет 10 назад. Сейчас, встретить что-то вроде .php?id=
это как найти слиток золота в центре столицы, да и то не факт, что это будет не муляж, а запрос не будет правильно обрабатываться. И когда я читаю что-то подобное, я сразу вспоминаю своего очень древнего преподавателя в университете, который нам рассказывал про концентраторы, повторители, мосты, token ring и fddi. Я считаю это историей, которую можно встреть только в особо отдаленных или специализированных местах, возможно даже в музеях.
Сегодня хочу рассмотреть довольно интересный случай, и он не ограничится admin’ or 1=1. Так что запаситесь вкусняшками и налейте себе какао, будет на что посмотреть 😉
![](https://cryptoworld.su/wp-content/uploads/2018/03/fe48faa41a6a733714648-6.png)
Обычное поле ввода логина пароля. Чтобы найти уязвимость требуется повозится. В данном случае я воспользовалась burp
Поставила [] после username и password, чтобы ввести php в заблуждение, предоставив ему массив. Таким образом иногда могут вылезти предупреждения. Вот что вышло в данном случае:
![](https://cryptoworld.su/wp-content/uploads/2018/03/5a4423481dbf1cd44582f-6.png)
Действительно мы видим предупреждение stripos()…. если поискать информацию об этой функции, то это своего рода фильтр, такой своеобразный WAF(нет) ))
И вправду, спустя какое-то время я увидела эту функцию в действии, она реагировала на некоторые ключевые слова, например union:
![](https://cryptoworld.su/wp-content/uploads/2018/03/2b5c7e72e47f6637291e7-6.png)
Но до этого момента мы еще дойдем, а пока попробуем ввести в поля спецсимволы:
![](https://cryptoworld.su/wp-content/uploads/2018/03/2c0fbb1bc0d9cf10edeca-6.png)
Отлично! Мы на верном пути. Не забываем фиксировать ошибки, которые находим:
![](https://cryptoworld.su/wp-content/uploads/2018/03/675aaa7478dc89079770e-6.png)
Следует вывод, что какой-то символ ломает синтаксис SQLite, поэтому сейчас надо его найти.
Методом проб и ошибок, оказалось что это обычная одинарная ковычка. Но только в одном поле, либо логина, либо пароля, а я вводила в оба, поэтому ошибка не появлялась.
![](https://cryptoworld.su/wp-content/uploads/2018/03/d7fa8af3649de7679ecba-6.png)
Дальше интереснее — раннее при вводе неверного логина, пароля мы видели «no such user/password». Ну чтож, это наталкивает на мысль, что мы можем попробовать найти валидных юзеров. Сформируем запрос, например такой admin’ — а пароль введем рандомный:
![](https://cryptoworld.su/wp-content/uploads/2018/03/3d5179954f5f38da6150f-6.png)
Чудненько, логин admin валидный, можно таким образом найти и другие, и кстати, регистр имеет значение. Так например Admin уже не является валидным юзером.
Поэксперементируем с запросами и выявим других пользователей:
![](https://cryptoworld.su/wp-content/uploads/2018/03/e4ef025513f83753dea83-6.png)
![](https://cryptoworld.su/wp-content/uploads/2018/03/29de37b6a0c0ff8011ed6-6.png)
Ну а дальше я наткнулась на вышеупомянутый фильтр, когда хотела использовать запрос ‘ limit 0 union select 1,2,3 —.
uni/**/on также не сработало. Так что придется выкручиваться =)
На помощь я позвала Python с библиотекой httplib
Я взяла исходники оттуда и буду допиливать. Нам нужны пост запросы, т.к. мы нашли уязвимость в них. Будем писать эксплоит 😉
Это пример с сайта. Совсем сырой и не под нашу задачу. Перепишу его под нашу задачу.
![](https://cryptoworld.su/wp-content/uploads/2018/03/db3ba06468da081a65092-6.png)
Для проверки работоспособности и ответа:
![](https://cryptoworld.su/wp-content/uploads/2018/03/a1f44a5e8be60dfe8f6c6-6.png)
Ответ:
![](https://cryptoworld.su/wp-content/uploads/2018/03/592f873c8af6e288a6a5d-6.png)
Чудесно, продолжим. Напишем первый эксплоит:
![](https://cryptoworld.su/wp-content/uploads/2018/03/3fbb707f0cf2e2bf354ef-6.png)
Как видно, используем библиотеку string и перебираем буквы и цифры:
![](https://cryptoworld.su/wp-content/uploads/2018/03/16399752c9b285002f055-6.png)
Пароль найден, но он не подходит, т.к. заглавные буквы тут не определились.
Поэтому перепишем код, основываясь на уже имеющихся данных:
![](https://cryptoworld.su/wp-content/uploads/2018/03/68c16b2731ea0ffcc8f1f-6.png)
Запустим и получим долгожданный пароль:
![](https://cryptoworld.su/wp-content/uploads/2018/03/1cb985d57f1439cbb54a6-6.png)
Всем отличного отдыха ))